PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : apache, iptables - leistungseinbusen



pucki
11.06.08, 22:13
Hallo,

hat jemand Erfahrung damit wieviel Resourcen iptables (in diesem Fall mit apf aufgesetzt) dem apache wegnimmt?

der Server läuft unter vollast ...


1 processor : 0
2 vendor_id : GenuineIntel
3 cpu family : 6
4 model : 15
5 model name : Intel(R) Xeon(R) CPU 5110 @ 1.60GHz
6 stepping : 6
7 cpu MHz : 1596.186
8 cache size : 4096 KB
....
24 processor : 1
25 vendor_id : GenuineIntel
26 cpu family : 6
27 model : 15
28 model name : Intel(R) Xeon(R) CPU 5110 @ 1.60GHz
29 stepping : 6
30 cpu MHz : 1596.186
31 cache size : 4096 KB


2GB RAM


Grüße

Reinhard

marce
11.06.08, 23:04
das hängt vom Durchsatz und dem Umfang und Reihenfolge der Regeln ab.

Pauschal würde ich aber sagen: wenn ein Server nur mit Apache und iptables am Limit läuft - dürfte die Usache meist am wenigsten bei iptables zu suchen sein (abgesehen von evtl. Log-Overkill)

pucki
11.06.08, 23:16
da hast du vollkommen recht ;-), allerdings muss man bis zur umstellung das beste daraus machen ...

es gilt hier halt zu überlegen ob durch das abschalten der regeln noch ein wenig luft für den apache rausspringt oder ob das vernachlässigbar ist ....

ich habe mal versucht das ganze mitzuloggen (sysstat) , bin aber nicht so richtig weitergekommen, da die auslastung im Einsatz halt stark von den Benutzern abhängt ...

mir geht es auch nur mal um eine abschätzung ... x < 1%, x<5%, x >15%, ...

Grüße

Reinhard

marce
12.06.08, 06:51
Wie viele Regeln sind denn am laufen? Wieviele davon betreffen den Apache? Anordnung der Regeln? Was wird allles gelogt? Was bedeutet "der Server läuft unter vollast" konkret? CPU, Netz, HD, Speicher? Was für Netzwerkkarten sind verbaut? Was für Platten? Was läuft sonst noch auf der Kiste?

Eine Prozentzahl kann man nicht nennen - da sie zu sehr vom Einzelfall abhängt. Ich würde aber schätzen, daß bei schon vorhandener guter Konfiguration der Gewinn weit unter 10% liegen wird...

Nebenbei: auch wenn mir immer wieder viele Leute wiedersprechen (oder sonstwo gehörtes nachplappen): Ich behaupte einfach mal, ein gut abgesicherter, einzelner Webserver braucht keine Firewall.

pucki
13.06.08, 20:29
Wie viele Regeln sind denn am laufen? Wieviele davon betreffen den Apache? Anordnung der Regeln? Was wird allles gelogt? Was bedeutet "der Server läuft unter vollast" konkret? CPU, Netz, HD, Speicher? Was für Netzwerkkarten sind verbaut? Was für Platten? Was läuft sonst noch auf der Kiste?

loadaverage: zum Teil zwischen 6 und 10, kurzzeitig noch höher
im Schnitt zwischen 4 und 5

cpu: s.o.
Netz: 1Gb (läuft keineswegs am limit ... meist läuft die Karte bei 100Mbit)
Speicher: 2GB





Eine Prozentzahl kann man nicht nennen - da sie zu sehr vom Einzelfall abhängt. Ich würde aber schätzen, daß bei schon vorhandener guter Konfiguration der Gewinn weit unter 10% liegen wird...
dache ich mir ...




Nebenbei: auch wenn mir immer wieder viele Leute wiedersprechen (oder sonstwo gehörtes nachplappen): Ich behaupte einfach mal, ein gut abgesicherter, einzelner Webserver braucht keine Firewall.
so langsam glaube ich das auch ;-), hier sollten die Regeln allerdings auch den ein oder anderen Zugriff abblocken ;-)

Grüße

Reinhard